Universität Maastricht bezahlt 200.000 Euro an Ransomware-Hacker
Illustration eines Virus. Bild von Christoph Scholz via flickr.com. Lizenz: Creative Commons
Eine Ransomware hat Ende 2019 die Computersysteme der niederländischen Universität Maastricht infiziert und zahlreiche wichtige Daten verschlüsselt. Die Hochschul-Leitung hat sich entschieden, das Lösegeld von 30 Bitcoin zu bezahlen, um die Daten wieder freizukaufen. Die Universität Maastricht teilt sich dieses Leid mit vielen anderen Hochschulen, die so häufig zum Opfer von Ransomware-Angriffen werden, dass Experten bereits von einer Bedrohung für das Bildungswesen sprechen.
Die Universität von Maastricht ist mit mehr als 18.000 Studierenden eine der größten und anerkanntesten Universitäten der Niederlande. Wie nun bekannt wurde, hat sie Ende des vergangenen Jahres 30 Bitcoin – damals etwa 200.000 Euro – an einen Hacker bezahlt, der ihre Computersysteme mit einer Ransomware infiziert hatte. Offenbar hat ein noch nicht identifizierbarer Mitarbeiter eine Phishing-E-Mail geöffnet und damit dem Virus die Türe zu seinem Computer geöffnet, von wo aus er sich im ganzen Netzwerk verbreiten konnte, um dort dann die Daten zu verschlüsseln.
Die Führung der Universität hat sich, so Vizepräsident Nick Bos, darüber beraten, ob man das Lösegeld bezahlen soll oder nicht, sich aber schließlich, nachdem alle Alternativen durchdiskutiert waren, zähneknirschend dafür entschieden. Die Ransomware hat wohl die kompletten IT-Systeme lahmgelegt, weshalb 200.000 Euro sehr viel günstiger waren, als die kompletten Systeme neu aufzusetzen und den Datenverlust abzuschreiben. „Der Schaden, den dies für Studierende, Wissenschaftler, Mitarbeiter sowie die Beständigkeit unserer Institution bedeutet hätte,“ erklärt Bos dem Nachrichtenportal Reuters, „ist und schwer zu überschauen.“
Laut der Cybersicherheits-Firma Fox-IT, die von der Universität im Anschluss beauftragt wurde, ging der Angriff von der russischen Hackergruppe TA505 aus. TA505 ist eine seit mindestens 2014 agierende Hackergruppe, die sich in zahlreichen Hacking-Disziplinen engagiert, neben Ransomware auch Botnets, Spamkampagnen, Trojaner, Phishing-Links und mehr. Sie greift dadurch auch Privatpersonen an, fokusiert sich aber auf Institutionen, Banken und andere zahlungskräftige Opfer.
Viele weitere Hochschulen betroffen
Die Universität von Maastricht ist das prominenteste europäische Ziel der Ransomware-Angriffe, aber beileibe nicht die einzige Hochschule, die in letzter Zeit betroffen ist. Erst vor kurzem wurde bekannt, dass das ITI Technical College, eine Hochschule in Baton Rouge im US-amerikanischen Louisiana, einem solchen Angriff erlegen ist.
In einem Interview mit WAFB erklärte der Vizepräsident der Universität, Mark Worthy, dass man das Lösegeld für die Daten nicht bezahlen werde. „Es ist empörend, dass Hacker Ransomware verbreiten können und es gibt keine Lösung dafür. Die Anzahl an Stunden, die unser Firma dafür aufwenden wird, um sich davon zu erholen, ist massiv.“ Auch beim ITI College begann der Angriff mit einer Phishing-Mail, die am 27. Januar eintrudelte. Die Ransomware blieb zunächst inaktiv, begann aber einen Tag später, die Daten im System zu verschlüsseln. Nachdem einem IT-Administrator auffiel, was passierte, fuhr er so schnell wie möglich zum College, trennte die einzelnen Computer vom Netzwerk und begann, zu retten, was zu retten war.
Der Datenverlust ist offenbar verkraftbar, allerdings ist der Prozess, die Systeme wieder instantzusetzen – vor allem: sicher instantzusetzen – aufwändig. Dennoch ist der Vizepräsident überzeugt, dass es der richtige Weg ist, das Lösegeld nicht zu bezahlen, um den Hackern nicht weitere Anreize zu geben, öffentliche Systeme zu infizieren.
Öffentliche Institutionen wie Stadtverwaltungen, Krankenhäuser und eben auch Universitäten sind beliebte Ziele von Randomware-Angriffen. Vor mehr als zwei Jahren hat es bereits das University College London erwischt, eine der angesehensten Hochschulen der Welt. Im selben Jahr traf es auch das New Yorker Monroe College sowie die Regis University in Denver, während die kanadische Calgary University schon 2016 ein Lösegeld von etwa 20.000 Dollar bezahlen musste. Neben diesen gibt es noch viele weitere Beispiele, die man aufzählen könnte.
Bedroht Ransomware das Bildungwesen?
Ransomware gilt als die am schnellsten wachsende Bedrohung der Cyber-Sicherheit. Einem kürzlich erschienen Bericht zufolge haben sich die Kosten der Angriffe im Verlauf des vergangenen Jahres verdoppelt und im vierten Quartal im Durchschnitt gut 84.000 Dollar erreicht. Ein Trend dabei ist, dass die Ransomware oft nicht nur die Daten verschlüsselt, sondern auch Daten extrahiert und damit droht, diese zu veröffentlichen.
Die häufigen Angriffe auf Bildungseinrichtungen wie Universitäten und Schulen stellen laut Acronis, einem Anbieter von Backup-Lösungen, eine Gefahr für das Bildungswesen dar. Dieser Bereich sei aus mehreren Gründen besonderes gefährdet. So ist es an Universitäten etwa kaum zu kontrollieren, wie sich Studierende online verhalten, was dazu führen kann, dass sie die falschen E-Mail-Anhänge öffnen oder sich beim illegalen File-Download Schadsoftware einfangen. Die generell offenen und eng verbundenen Netzwerke auf einem Campus machen es einfach, Schwachstellen zu finden, über die man eine Ransomware einschleusen kann, die sich dann schnell im ganzen System verbreitet. Aufgrund der oft knappen Geldmittel der Hochschulen und der komplexen Systeme haben diese schließlich oft eine weniger gut ausgebildete Cyber-Sicherheit und Tech-Infrastruktur.
Die Frage, die derzeit wohl viele IT-Administratoren von öffentlichen Institutionen bewegt, ist, wie man sich effektiv gegen solche Angriffe schützen kann. Bei der Universität Maastricht waren sämtliche Windows-Systeme betroffen, was eventuell ein Hinweis darauf sein könnte, dass ein Wechsel zu Linux das Problem zumindest entschärfen könnte. Unverzichtbar ist aber eine gute und sichere Netzwerk-Hygiene, etwa die Segmentierung der Netzwerke, so dass es schwieriger ist, das Ransomware-Virus auf alle Systeme zu bringen, eine starke und aktuelle Antivirensoftware, häufige Updates, um Schwächen zu schließen, sowie konstante, mehrfache Backups auch bei Cloud-Providern. Allerdings dürfte es kaum möglich sein, eine vollständige Sicherheit zu erreichen, ohne dafür die Nutzbarkeit der Systeme erheblich einzuschränken.
Traurig, denn der Schutz vor Ramsonware ist einfach. Wenn es ein kleines Unternehmen erwischt, das sich um IT nicht kümmert ist das nachvollziehbar. Wenn es eine Universität trifft, ist das höchst peinlich.
Hat die Uni denn nun nach Zahlung ihre Daten wirklich wieder bekommen? Meistens wird ja nur kassiert und dann passiert nichts weiter oder es wird sogar eine noch höhere Summe nach gefordert.
Na so kommt doch wenigstens ans Tageslicht, wie dort mit Daten umgegangen wird. Die Daten wären auch für jeden hacker zugänglich gäbe es keine ransom ware. So gibt es wenigstens einen Anreiz mal was an der eigenen opsec zu arbeiten
Leute, es geht auch uns an! Was geben wir an Daten preis, nicht umsonst ist Datensparsamkeit das oberste Gebot des Datenschutzes. Alles was preisgeben wird, könnte Opfer eines Angriffs werden und da ist nicht nur die Drohung der Datenverschlüsselung sondern auch die öffentlichen Preisgabe unserer Daten. Angesichts der gedankenlos propagierten Digitalisierung sind uns leider zunehmend wieder die Hände gebunden, weil Preisgabeforderungen für unsere Daten bestehen und das trotz DSGVO.
wo bleibt der übliche haus- und hof-kommentator hier, um seinen fav coin zu shillen, der doch viel besser geeignet ist für diesen use-case?
BSV kann z.B. einfach zurücksetzen. Dann bekommt der Hacker garnichts. BSV ist deswegen schon viel besser.
nee, nich du und nich bsv :-]
Lieber herzmeister, tatsächlich ist eine transparente und dementsprechend überwachbare Chain ein denkbar ungeeignetes Konstrukt für diesen Use-Case und ich kann mir das nur noch mit dem Netzwerkeffekt und der relativen Einfachkeit beim Onboarding erklären. Auch im Darknet ist Bitcoin noch führende Payment Methode (immerhin da wird es abseits des „digitalen Gold“ Bullshits wirklich genutzt), obwohl gerade dort angekommen sein müsste, dass alle Transaktionen für immer und ewig für jeden einsehbar bleiben und ein OpSec Fehler selbst nach Jahren verheerend sein kann.